Collecter les journaux d'opération Zoom

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux d'opérations Zoom dans Google Security Operations à l'aide de Google Cloud Storage. L'analyseur transforme les journaux bruts en modèle de données unifié (UDM). Il extrait les champs du message de journal brut, nettoie et normalise les données, puis mappe les informations extraites aux champs UDM correspondants. Il enrichit ainsi les données pour l'analyse et la corrélation dans un système SIEM.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des fonctions Cloud Run, des sujets Pub/Sub et des jobs Cloud Scheduler
Accès privilégié à Zoom

Conditions requises pour collecter les journaux d'opération Zoom

Connectez-vous à la Zoom App Marketplace.
Accédez à Développer > Créer une application > OAuth de serveur à serveur.
Créez l'application et ajoutez le champ d'application suivant : report:read:operation_logs:admin (ou report:read:admin).
Dans Identifiants de l'application, copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
- Numéro de compte
- ID client
- Code secret du client
Remarque : L'accès aux niveaux d'accès report:read:admin et report:read:operation_logs:admin dans une application OAuth serveur à serveur peut dépendre des autorisations au niveau du compte et du rôle. Si ces niveaux d'accès ne sont pas sélectionnables, consultez la documentation de Zoom sur les rôles/niveaux d'accès ou contactez l'assistance.

Vérifier les autorisations

Pour vérifier que le compte dispose des autorisations requises :

Connectez-vous à votre compte Zoom.
Accédez à Admin > Gestion des comptes > Profil du compte.
Si vous pouvez accéder aux paramètres du compte et afficher les journaux d'opérations, vous disposez des autorisations requises.
Si vous n'avez pas accès à ces options, contactez votre administrateur Zoom pour obtenir les autorisations nécessaires.

Tester l'accès à l'API

Testez vos identifiants avant de procéder à l'intégration :

# Replace with your actual credentials
ZOOM_ACCOUNT_ID="<your-account-id>"
ZOOM_CLIENT_ID="<your-client-id>"
ZOOM_CLIENT_SECRET="<your-client-secret>"

# Get OAuth token
TOKEN=$(curl -s -X POST "https://zoom.us/oauth/token?grant_type=account_credentials&account_id=${ZOOM_ACCOUNT_ID}" \
  -u "${ZOOM_CLIENT_ID}:${ZOOM_CLIENT_SECRET}" \
  | grep -o '"access_token":"[^"]*"' | cut -d'"' -f4)

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" \
  "https://api.zoom.us/v2/report/operationlogs?from=$(date -u -d '1 day ago' +%Y-%m-%d)&to=$(date -u +%Y-%m-%d)&page_size=10"

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `zoom-operation-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez zoom-operationlogs-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect Zoom operation logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, zoom-operation-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, zoom-operationlogs-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez zoom-operationlogs-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Zoom et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`zoom-operationlogs-to-gcs`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez zoom-operationlogs-trigger.
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez zoom-operationlogs-sa.

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur
`GCS_BUCKET`	`zoom-operation-logs`
`GCS_PREFIX`	`zoom/operationlogs/`
`STATE_KEY`	`zoom/operationlogs/state.json`
`ZOOM_ACCOUNT_ID`	`<your-zoom-account-id>`
`ZOOM_CLIENT_ID`	`<your-zoom-client-id>`
`ZOOM_CLIENT_SECRET`	`<your-zoom-client-secret>`
`PAGE_SIZE`	`300`
`TIMEOUT`	`30`

Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, date, timedelta, timezone
import base64
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'zoom/operationlogs/')
STATE_KEY = os.environ.get('STATE_KEY', 'zoom/operationlogs/state.json')
ZOOM_ACCOUNT_ID = os.environ.get('ZOOM_ACCOUNT_ID')
ZOOM_CLIENT_ID = os.environ.get('ZOOM_CLIENT_ID')
ZOOM_CLIENT_SECRET = os.environ.get('ZOOM_CLIENT_SECRET')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '300'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

TOKEN_URL = "https://zoom.us/oauth/token"
REPORT_URL = "https://api.zoom.us/v2/report/operationlogs"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Zoom operation logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, ZOOM_ACCOUNT_ID, ZOOM_CLIENT_ID, ZOOM_CLIENT_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        bucket = storage_client.bucket(GCS_BUCKET)

        # Get OAuth token
        token = get_token()

        # Load state
        state = load_state(bucket, STATE_KEY)
        cursor_date = state.get('cursor_date', date.today().isoformat())

        print(f'Processing logs for date: {cursor_date}')

        # Fetch logs
        from_date = cursor_date
        to_date = cursor_date
        total_written = 0
        next_token = state.get('next_page_token')

        while True:
            page = fetch_page(token, from_date, to_date, next_token)
            items = page.get('operation_logs', []) or []

            if items:
                write_chunk(bucket, items, datetime.now(timezone.utc))
                total_written += len(items)

            next_token = page.get('next_page_token')
            if not next_token:
                break

        # Advance to next day if we've finished this date
        today = date.today().isoformat()
        if cursor_date < today:
            nxt = (datetime.fromisoformat(cursor_date) + timedelta(days=1)).date().isoformat()
            state['cursor_date'] = nxt
            state['next_page_token'] = None
        else:
            # stay on today; continue later with next_page_token=None
            state['next_page_token'] = None

        save_state(bucket, STATE_KEY, state)

        print(f'Successfully processed {total_written} logs for {from_date}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token():
    """Get OAuth 2.0 access token from Zoom."""
    params = f"grant_type=account_credentials&account_id={ZOOM_ACCOUNT_ID}"
    basic = base64.b64encode(f"{ZOOM_CLIENT_ID}:{ZOOM_CLIENT_SECRET}".encode('utf-8')).decode('utf-8')

    headers = {
        'Authorization': f'Basic {basic}',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Accept': 'application/json',
        'Host': 'zoom.us'
    }

    response = http.request(
        'POST',
        TOKEN_URL,
        body=params,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'Token request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to get OAuth token: {response.status}')

    body = json.loads(response.data.decode('utf-8'))
    return body['access_token']

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')

    # Initial state: start today
    today = date.today().isoformat()
    return {'cursor_date': today, 'next_page_token': None}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        state['updated_at'] = datetime.now(timezone.utc).isoformat()
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def write_chunk(bucket, items, ts):
    """Write log chunk to GCS."""
    key = f"{GCS_PREFIX}{ts:%Y/%m/%d}/zoom-operationlogs-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for rec in items:
            gz.write((json.dumps(rec) + '\n').encode('utf-8'))

    buf.seek(0)
    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Wrote {len(items)} logs to {key}')
    return key

def fetch_page(token, from_date, to_date, next_page_token):
    """Fetch a page of logs from Zoom API."""
    params = {
        'from': from_date,
        'to': to_date,
        'page_size': str(PAGE_SIZE)
    }

    if next_page_token:
        params['next_page_token'] = next_page_token

    # Build query string
    query_string = '&'.join([f"{k}={v}" for k, v in params.items()])
    url = f"{REPORT_URL}?{query_string}"

    headers = {
        'Authorization': f'Bearer {token}',
        'Accept': 'application/json'
    }

    response = http.request(
        'GET',
        url,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'API request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to fetch logs: {response.status}')

    return json.loads(response.data.decode('utf-8'))

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires. La fonction utilise le modèle de pagination standard de Zoom avec next_page_token, qui expire après une courte période (généralement 15 minutes). Les jobs doivent donc s'exécuter assez souvent pour éviter les problèmes d'expiration des jetons.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`zoom-operationlogs-schedule-15min`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`/15 * * *` (toutes les 15 minutes)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionner `zoom-operationlogs-trigger`
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Standard (recommandé)
Toutes les heures	`0 * * * *`	Volume faible
Toutes les 6 heures	`0 /6 * *`	Traitement par lot

Tester l'intégration

Dans la console Cloud Scheduler, recherchez votre job (par exemple, zoom-operationlogs-schedule-15min).
Cliquez sur Exécuter de force pour déclencher le job manuellement.
Patientez pendant quelques secondes.
Accédez à Cloud Run > Services.
Cliquez sur le nom de la fonction (zoom-operationlogs-to-gcs).
Cliquez sur l'onglet Journaux.

Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

Processing logs for date: YYYY-MM-DD
Page 1: Retrieved X events
Wrote X records to zoom/operationlogs/YYYY/MM/DD/zoom-operationlogs-UUID.json.gz
Successfully processed X logs for YYYY-MM-DD

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (zoom-operation-logs).
Accédez au dossier de préfixe (zoom/operationlogs/).
Vérifiez qu'un fichier .json.gz a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

HTTP 401 : vérifiez les identifiants de l'API Zoom dans les variables d'environnement
HTTP 403 : vérifiez que l'application Zoom dispose du champ d'application report:read:operation_logs:admin.
Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies dans la configuration de la fonction Cloud Run.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Zoom Operation Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Journaux des opérations Zoom comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documentations ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, zoom-operation-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les journaux d'opération Zoom

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Zoom Operation Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Journaux des opérations Zoom comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://zoom-operation-logs/zoom/operationlogs/
```
  - Remplacez :
    - zoom-operation-logs : nom de votre bucket GCS.
    - zoom/operationlogs/ : préfixe du chemin d'accès où les journaux sont stockés.
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
  Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets de l'espace de stockage au lieu de celui de lecteur des objets de l'espace de stockage. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
action	metadata.product_event_type	Le champ de journal brut "action" est mappé à ce champ UDM.
category_type	additional.fields.key	Le champ de journal brut "category_type" est mappé sur ce champ UDM.
category_type	additional.fields.value.string_value	Le champ de journal brut "category_type" est mappé sur ce champ UDM.
Département	target.user.department	Le champ de journal brut "Department" (extrait du champ "operation_detail") est mappé à ce champ UDM.
Description	target.user.role_description	Le champ de journal brut "Description" (extrait du champ "operation_detail") est mappé à ce champ UDM.
Nom à afficher	target.user.user_display_name	Le champ de journal brut "Nom à afficher" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
Adresse e-mail	target.user.email_addresses	Le champ de journal brut "Adresse e-mail" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
Prénom	target.user.first_name	Le champ de journal brut "Prénom" (extrait du champ "operation_detail") est mappé à ce champ UDM.
Fonction	target.user.title	Le champ de journal brut "Job Title" (extrait du champ "operation_detail") est mappé à ce champ UDM.
Nom	target.user.last_name	Le champ de journal brut "Nom" (extrait du champ "operation_detail") est mappé à ce champ UDM.
Emplacement	target.location.name	Le champ de journal brut "Location" (extrait du champ "operation_detail") est mappé à ce champ UDM.
operation_detail	metadata.description	Le champ de journal brut "operation_detail" est mappé à ce champ UDM.
opérateur	principal.user.email_addresses	Le champ de journal brut "operator" est mappé sur ce champ UDM s'il correspond à une expression régulière d'adresse e-mail.
opérateur	principal.user.userid	Le champ de journal brut "operator" est mappé sur ce champ UDM s'il ne correspond pas à une expression régulière d'e-mail.
Nom de la pièce	target.user.attribute.labels.value	Le champ de journal brut "Nom de la salle" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
Nom du rôle	target.user.attribute.roles.name	Le champ de journal brut "Nom du rôle" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
heure	metadata.event_timestamp.seconds	Le champ de journal brut "time" est analysé et mappé sur ce champ UDM.
Type	target.user.attribute.labels.value	Le champ de journal brut "Type" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
Rôle de l'utilisateur	target.user.attribute.roles.name	Le champ de journal brut "Rôle utilisateur" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
Type d'utilisateur	target.user.attribute.labels.value	Le champ de journal brut "Type d'utilisateur" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
	metadata.log_type	La valeur "ZOOM_OPERATION_LOGS" est attribuée à ce champ UDM.
	metadata.vendor_name	La valeur "ZOOM" est attribuée à ce champ UDM.
	metadata.product_name	La valeur "ZOOM_OPERATION_LOGS" est attribuée à ce champ UDM.
	metadata.event_type	La valeur est déterminée selon la logique suivante : Si le champ "event_type" n'est pas vide, sa valeur est utilisée. 1. Si les champs "operator", "email" ou "email2" ne sont pas vides, la valeur est définie sur "USER_UNCATEGORIZED". 1. Sinon, la valeur est définie sur "GENERIC_EVENT".
json_data	about.user.attribute.labels.value	Le champ de journal brut "json_data" (extrait du champ "operation_detail") est analysé au format JSON. Les champs "assistant" et "options" de chaque élément du tableau JSON analysé sont mappés au champ "value" du tableau "labels" dans l'UDM.
json_data	about.user.userid	Le champ de journal brut "json_data" (extrait du champ "operation_detail") est analysé au format JSON. Le champ "userId" de chaque élément du tableau JSON analysé (sauf le premier) est mappé au champ "userid" de l'objet "about.user" dans l'UDM.
json_data	target.user.attribute.labels.value	Le champ de journal brut "json_data" (extrait du champ "operation_detail") est analysé au format JSON. Les champs "assistant" et "options" du premier élément du tableau JSON analysé sont mappés au champ "value" du tableau "labels" dans l'UDM.
json_data	target.user.userid	Le champ de journal brut "json_data" (extrait du champ "operation_detail") est analysé au format JSON. Le champ "userId" du premier élément du tableau JSON analysé est mappé au champ "userid" de l'objet "target.user" dans l'UDM.
e-mail	target.user.email_addresses	Le champ de journal brut "email" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
email2	target.user.email_addresses	Le champ de journal brut "email2" (extrait du champ "operation_detail") est mappé sur ce champ UDM.
rôle	target.user.attribute.roles.name	Le champ de journal brut "role" (extrait du champ "operation_detail") est mappé à ce champ UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.